医院信息化安全等保解决方案二级.docx
《医院信息化安全等保解决方案二级.docx》由会员分享,可在线阅读,更多相关《医院信息化安全等保解决方案二级.docx(8页珍藏版)》请在冰豆网上搜索。
医院信息化安全等保解决方案二级
杭州迪普科技有限公司医院信息化安全等保解决方案一、行业背景与需求为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工2011年作,卫生部办公厅于12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。
为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函,对卫生行业各单位提出如下要求:
(以下简称《通知》)〕〔20111126号)日前完成本单位信息系统的定级备案工作;月30■2012年5并结合自身安■根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,全需求,制订安全建设整改方案;日前完成信息安全等级保护建设整改工作,并通过等级测评。
月302015■年12、)《信息安全技术信息系统安全等级保护定级指南》《指导意见》根据(以下简称《定级指南》(以下简称《基本要求》),建议县区级医《信息安全技术信息系统安全等级保护基本要求》各省卫生厅根据《指导意见》、《定院的核心业务信息系统安全保护等级原则上不低于二级。
级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,大部分省(市)定级要求如下:
序号信息系统可能侵害的客体定级建议二级PACS、、门诊系统等公民、法人与其他组织合法权益LISHIS1、二级OA2
、网站、邮寄等公民、法人与其他组织合法权益页1第
杭州迪普科技有限公司二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。
■整体思路。
内网主要承县级医院网络一般分为两张物理网络:
内网(业务网)和外网(办公网)OA、网站、mail等信息系统。
LIS载着HIS、、PACS等医院信息系统,外网主要承载医院应满《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个分别从网络安全、主机安全、层面。
本方案针对医院内外两张物理网络及其承载的信息系统,应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
页2第
杭州迪普科技有限公司■方案描述医院内网信息安全等级保护方案设计,如下图所示:
页3第
杭州迪普科技有限公司图1首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区与外联区DPtech
VLAN域。
根据不同的业务系统与安全区域划分,在数据中心与外联区域边界部署FW1000防火墙,根据访问需求配置安全访问控制策略。
对于重要区域边界部署(数据中心前端)IPS2000入侵防御系统,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、恶意代码在安全管理区部署DPtechUMC统一管理中心与DPtechScanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、防火墙与IPS业务日志等。
医院外网信息安全等级保护方案计设,如下图所示:
图2医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtechWAF3000Web应用防火墙,对医院门户网站进行重点防护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;互联网边界部署DPtechFW1000防火墙,根据访问需求配置安全访问控制策略;部署DPtechUAG3000页4第
杭州迪普科技有限公司审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;统一管理中心,对安全设备进行集中管理。
在安全管理区部署DPtechUMC方案设计参考标准信息安全技术信息系统安全等级保护基本要求GB/T22239-2008信息安全技术信息系统安全等级保护实施指南GB/T22240-2008信息安全技术信息系统安全通用技术要求GB/T20271-2006
信息安全技术信息系统安全等级保护体系框架GA/T708-2007
信息安全技术信息系统安全等级保护基本模型GA/T709-2007
信息安全技术信息系统安全等级保护基本配置GA/T709-2007信息安全技术信息系统等级保护安全建设技术方案设计规范信息安全技术信息系统等级保护安全设计技术要求信息安全技术信息系统安全等级保护测评要求……三、为什么选择迪普迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准可全面提升医院信结合医院信息化安全实际需求进行设计,与卫生行业的相关标准与要求,息安全防护能力与安全管理能力。
主要具备以下特点:
■合规性本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级保护建设,对其中的每一项要求均有相关的产品经验,充分理解《信息系统安全等级保护测评要求》,采用本方案的医院信息化系统可功能、安全策略与之对应(除非网络产品涉及的要求外)充分满足国家与医疗行业等保建设要求。
页5第
杭州迪普科技有限公司■全方位医院信息化安全防护需求多样化,主要关注边界安全防护、网站系统防护、互联网上网行为针对多样化重要业务系统备份几个方面。
迪普科技专注于网络安全与应用交付领域,管理、全面提升医院信息化系统的安全性、的需求可提供全方位的产品与解决方案,可用性、可靠性。
■高可靠医院信息化系统与医疗业务息息相关,业务系统的可靠性、连续性要求占首位,安全建设不具备电信级能增加额外的故障点。
迪普科技安全与优化类产品广泛运用于电信运营商行业,可靠性,同时支持业内领先的双机备份技术,对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。
■易管理医院信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,迪普科设备状态技以UMC统一管理中心为核心的安全管理解决方案,实现安全设备的统一管理,集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时对网络安全状况进行分析,其可视化展现的方式极大的降低了网络管理复杂度。
四、迪普案例南昌大学第二附属医院数据中心安全加固;南昌大学第一附属医院出口改造;江西中医大学校园网出口改造;浙江省人民医院内网数据中心安全加固;页6第
杭州迪普科技有限公司上海市第六人民医院医院等保建设;梅州市人民医院提供整网等保建设;武汉亚心医院数据中心安全加固;新疆医科大学第一附属医院;郑州大学第一附属医院网络安全加固;………五、方案清单医院内网:
型号描述数量管理中心UMC统一管理中心管理软件SW-UMC-PLAT
DPtechUMC
1
LIS-UMC-FWMDPtechUMCFirewallManager授权函1
LIS-UMC-IPSMDPtechUMCIPSManager授权函1
LIS-UMC-ScannerDPtechUMCScannerManager授权函1
Scanner1000漏洞扫描系统DPtechSCANNER1000-MS
交流主机,特征库升级-1年1
Scanner1000-MS+1Y
LIS-SC-WEBDPtechSCANNER1000Web扫描服务函1
LIS-Scanner1000-MS-SA-1YDPtechSCANNER1000-MS,特征库升级-1年2
DPtechScanner1000-MS,授权可扫描总数量为64个无1
地址或域名LIS-Scanner1000-MS-IP1
限制范围的IP页7第
杭州迪普科技有限公司IPS2000入侵防御系统DPtechIPS2000-ME-N
双电源交流主机,特征库升级-11
年-1年,病毒库升级IPS2000-ME-N+1Y
DPtechIPS2000-ME-N,特征库升级-1年,病毒库升级-12
LIS-IPS2000-ME-N-SA-1Y年FW1000防火墙DPtechFW1000-ME-N
交流主机2
FW1000-ME-N
医院外网:
型号描述数量管理中心UMC统一管理中心DPtechUMC
管理软件1
SW-UMC-PLAT
LIS-UMC-WAFMDPtechUMCWAFManager授权函1
LIS-UMC-FWMDPtechUMCFirewallManager授权函1
LIS-UMC-UAGMDPtechUMCUAGManager授权函1
WAF3000Web应用防火墙DPtechWAF3000-ME
双电源交流主机,病毒库升级-11
WAF3000-ME+1Y年,WAF库升级-1年DPtechWAF3000-ME,病毒库升级-1年,WAF库升级-12
LIS-WAF3000-ME-SA-1Y年UAG3000审计及流控网关页8第
杭州迪普科技有限公司DPtechUAG3000-ME
双电源交流主机,协议库升级-31
UAG3000-ME+3Y
年,
1
FW1000防火墙DPtechFW1000-ME-N
交流主机FW1000-ME-N1
页9第
升级会员 